L’hacker (coloro che entrano in un sistema senza averne autorizzazione) non è un’entità astratta e che può tutto, al contrario, ad avere un ruolo determinante sono le vulnerabilità della macchina sotto attacco.
Cercheremo di “studiare” un attacco informatico e vedremo cosa c’è dietro un attacco orientato al traffico di informazioni o alla distruzione dei dati, mentre nel penultimo paragrafo analizzeremo gli attacchi volti a limitare o azzerare le funzionalità del server bersaglio, il famigerato DoS (o DDoS, se ad attaccare sono più server), più semplice rispetto ad un attacco data-oriented.
Attacco hacker per accesso ai dati – Analisi del bersaglio
Quando si parla di attacchi informatici su larga scala non avviene mai improvvisamente, anzi, per attaccare un bersaglio specifico, sia esso un server o una rete, è importante studiare e monitorare non solo il server stesso ma anche eventuali barriere di sicurezza ad esso collegati (firewall, sonde e cose del genere).
In questa fase l’hacker cerca di carpire:
- Programmi in esecuzione sul server così da poterne sfruttarne i bug;
- Traffico dati da e verso il server, per carpire tutte le informazioni in transito (ad esempio password, parametri delle reti private, eventuali firewall ecc.);
- Algoritmi di cifratura, se ve ne sono, con i quali i dati del punto precedente vengono cifrati;
- Modalità di accesso al server;
- Tempistiche delle eventuali sonde o del personale di auditing;
- Eventuali procedure di scansione o segnalazione automatica di accessi indesiderati, se presenti;
- Tutte le altre informazioni utili (posizione dei file di log, autorizzazioni dei gruppi di utenti e quant’altro).
In funzione della portata dell’attacco la fase di studio può richiedere del tempo, anche anni.
Attacco hacker per accesso ai dati – Preparazione dell’attacco
Dopo la fase di studio l’hacker affronta una lotta contro il tempo perché le modifiche ad un sistema informatico sono frequenti.
Ottenute tutte le informazioni necessarie, l’hacker dovrà definire la strategia d’attacco, potrà scegliere di monitorare e decifrare con gli appositi mezzi il traffico in transito sul server, sfruttare una o più vulnerabilità dei programmi in esecuzione sul server sfruttando un apposito exploit, ecc.ecc.
In questa fase l’hacker definirà i tempi di esecuzione dei vari passaggi richiesti e le modalità con cui mascherarsi durante l’accesso al server, tentando di far “rimbalzare” il proprio indirizzo IP su quanti più nodi possibili, rendendo così il rintracciamento più complicato possibile.
Attacco hacker per accesso ai dati – L’attacco
Studiato il bersaglio e preparato tutte le modalità, c’è l’attacco vero e proprio, per accedere al server in questione per prelevare o distruggere i dati di cui ha bisogno ed è qui che mette in pratica tutti gli studi nelle fasi precedenti.
L’accesso avviene tramite credenziali mirate, se prelevate, o sfruttando una vulnerabilità di qualche programma tramite un apposito exploit.
Gli approcci sono due: l’hacker decide di mirare ai dati o deciderà di predisporre il server vittima ad un accesso futuro. Solitamente il secondo è l’approccio più efficace ma anche il più soggetto a rischi.
Dopo l’attacco l’hacker vorrà eliminare le tracce del suo accesso modificando file di log nel sistema.
L’attacco hacker DoS – DDoS
Questo è l’attacco informatico che di provoca l’irraggiungibilità di un sito web o qualsiasi servizio o applicazione.
Spesso un DDoS,Distributed denial-of-service (che a sua volta crea un DoS) si provoca “bombardando” il server vittima con una spropositata quantità di dati grazie ad una botnet – una serie di macchine collegate insieme per inviare dati contemporaneamente – costruita e guidata dall’hacker: più grande è la botnet, più dati si inviano, più la probabilità che il server non sia in grado di gestirli è alta, per cui il server non può eseguire le normali procedure di smistamento dati, con l’interruzione del servizio offerto. Il lavoro dell’hacker è mettere in piedi una buona botnet, di guadagnando l’accesso a varie macchine con il metodo descritto in precedenza.
Esiste un’altra tipologia di attacco DoS che consiste nel mandare in crash una o più applicazioni sul server: sfruttando, grazie agli exploit remoti, le vulnerabilità dei programmi in esecuzione sul server stesso. Nulla vieterebbe ad un hacker di assestare un DoS direttamente dall’interno del server ma, vista la complessità di una pratica simile (bisognerebbe seguire in primis tutto l’iter descritto nei paragrafi precedenti), un DoS dall’interno è utilizzato soltanto nel caso di attacchi su larga scala.
Come evitare di rimanere vittime di un attacco hacker
Purtroppo è bene ricordare che l’unica macchina sicura è una macchina spenta, e che un rischio minimo di essere vulnerabili, soprattutto se connessi ad Internet esiste sempre.
D’altra parte, che voi siate gestori di un server oppure utenti di un computer, vi sono degli accorgimenti consigliati:
- Tenere sempre aggiornato il sistema operativo, il kernel (se stiamo parlando di un GNU/Linux) e le applicazioni installate su di esso; ridurrà la probabilità di essere esposti a bug.
- Evitare di installare, soprattutto in ambienti server e/o di produzione, software attivo o demoni che interagiscono con la rete e richiedono l’apertura di porte remote se non strettamente necessario.
- Tenere sempre ben configurato il firewall (software o hardware) e lasciare “sbloccate” soltanto tutte quelle porte di cui si ha strettamente bisogno.
- Impostate sul firewall filtri che impediscano tutti i tipi di flood (SYN, TCP e via discorrendo); limiterete l’efficacia di un potenziale DDoS tramite botnet;
- Evitare di installare software precompilato (sopratutto per quanto riguarda gli ambienti di produzione GNU/Linux) di dubbia provenienza, potrebbe esporre la vostra macchina a malware di ogni tipo (in particolare rootkit, backdoor e keylogger);
- Se siete gestori di un ambiente server, evitate di usarlo per andare in Internet – ed in particolare su siti in cui è richiesto di inserire le credenziali d’accesso – se non strettamente necessario; in tal caso, cercate di entrare soltanto in siti che permettono l’utilizzo di SSL (https:// e non http://).
Pingback: L'ABC per la difesa dagli attacchi hacker - Blog Betacom